Ein gefälschter Zoom-Installer schleust BlackSuit Ransomware auf Windows-Systeme ein

Der Angreifer verschaffte sich zunächst Zugang über ein gefälschtes Zoom-Installationsprogramm, das d3f@ckloader und IDAT loader verwendete, um SectopRAT zu installieren.

Nach einer Verweildauer von neun Tagen setzte die SectopRAT-Malware Cobalt Strike und Brute Ratel ab. Die laterale Ausbreitung wurde über verschiedene Remote-Dienste und später über RDP erreicht. Um die laterale Ausbreitung über RDP zu erleichtern, setzte der Angreifer eine Malware mit Proxy-Funktionen ein, die als QDoor bekannt ist. Der Bedrohungsakteur verwendete WinRAR, um verschiedene Dateien zu archivieren und sie dann in eine Cloud-SaaS-Anwendung namens Bublup hochzuladen. Schließlich setzte der Bedrohungsakteur die BlackSuit-Ransomware mithilfe von PsExec auf allen Windows-Systemen ein und führte sie aus.

Dieser Fall vom Mai 2024 begann mit einem böswilligen Download von einer Website, die die Telekonferenzanwendung Zoom imitierte. Beim Besuch der Website und dem Herunterladen einer Datei, die anscheinend für die Installation von Zoom gedacht war, installierte der Benutzer tatsächlich ein mit Inno Setup erstelltes Schadprogramm.

Das Schadprogramm war ein d3f@ck-Loader, der auf der Skriptsprache Pascal basierte und mehrere Verweise auf die nachfolgenden Phasen in der Ausführungskette enthielt, wie z. B. OneDrive, Telegram und Steam. Nach der Ausführung eines Batch-Skripts, um den Nutzlastordner von Windows Defender auszuschließen und ihn als versteckt zu markieren, stellte das Programm eine Verbindung zu einer Steam-Community-Seite für die nächste IP-Adressstufe her.

Von dieser IP-Adresse wurden zwei Archivdateien heruntergeladen und von einem anderen Batch-Skript extrahiert. Das Skript führte dann eine Nutzlast aus jedem Archiv aus. Aus einem Archiv führte das Skript das legitime Zoom-Installationsprogramm aus, sodass der Endbenutzer das Programm erhielt, von dem er dachte, dass er es heruntergeladen hatte, was die Wahrscheinlichkeit verringerte, dass der Benutzer das Ereignis an die IT- oder Sicherheitsmitarbeiter meldete.

Die zweite ausgeführte Nutzlast war IDAT loader und eine verschlüsselte Nutzlastdatei, die zur Injektion von SectopRAT in MSBuild.exe führte. Der Prozess MSbuild.exe rief Pastebin auf, um eine IP-Adresse zu erhalten, die für seinen Befehls- und Steuerungsendpunkt verwendet werden sollte. Danach wurde der Befehls- und Steuerungsverkehr eingerichtet und die Aktivität für acht Tage eingestellt.

Am neunten Tag des Eindringens erzeugte SectopRAT eine neue Befehlsshell und führte eine neue Nutzlast aus. Dabei handelte es sich um eine Brute-Ratel-Nutzlast, die allgemein als „Badgers“ bezeichnet wird. Dieser Badger führte eine Reihe von Windows-Befehlen zur Erkennung aus, bevor er ein ausführbares Cobalt-Strike-Beacon ausführte. Das Cobalt-Strike-Beacon wurde in einen DLL-Host-Prozess injiziert und es wurde beobachtet, dass es auf den LSASS-Speicher zugreift.

Danach begann der Bedrohungsakteur, sich seitlich zu bewegen, indem er Cobalt Strike psexec_psh verwendete, um einen Remote-Dienst für ein PowerShell Cobalt-Beacon auf einem Domänencontroller zu starten. Sobald sie sich auf dem Domänencontroller befanden, setzten sie die Erkundungsaktionen mit Dienstprogrammen wie nltest, net und systeminfo fort. Sie führten weiterhin Cobalt Strike-Beacons auf mehreren weiteren Hosts in der gesamten Umgebung aus und wiederholten das auf dem Domänencontroller beobachtete Muster.

Auf einem Domänencontroller und einem Backup-Server legte der Bedrohungsakteur eine binäre svhost.exe ab. Bei dieser Datei handelte es sich um ein Proxy-Tool namens QDoor. Die Bedrohungsakteure führten diese Datei mithilfe von WMIC auf den Hosts aus und übermittelten eine IP-Adresse, um einen Remote-Server für QDoor bereitzustellen, an den der Datenverkehr weitergeleitet werden konnte. Über diesen Tunnel leitete der Bedrohungsakteur den RDP-Datenverkehr von seinem Server weiter, um über den Domänencontroller eine Verbindung zu Hosts herzustellen.

Sie stellten zunächst eine Verbindung zu einem Dateifreigabeserver her, wo sie den Edge-Browser zum Herunterladen von WinRAR verwendeten. Anschließend erstellten sie mit WinRAR ein Archiv der anvisierten Dateifreigaben. Diese Archive wurden dann mithilfe der SaaS-Projektmanagement-Suite Bublup über den Edge-Browser exfiltriert.

Anschließend stellten sie über RDP eine Verbindung zum ersten Domänencontroller her. Dort luden sie WinRAR erneut über den Edge-Browser herunter, gefolgt von einem RAR-Archiv von der temporären Dateifreigabeseite temp.sh. Dieses RAR-Archiv enthielt alle Dateien, die für die Bereitstellung und den Einsatz ihrer Ransomware erforderlich waren.

Nach dem Extrahieren des Archivinhalts begannen sie mit der Bereitstellung der Ransomware. Sie führten eine Batch-Datei aus, die die ausführbare Ransomware-Datei mithilfe einer Reihe von Textdateien, die die Remote-Ziele enthielten, mit PsExec auf Remote-Hosts kopierte. Darauf folgte ein zweites Batch-Skript, das dieselben Textdateien und PsExec verwendete, um die Ransomware auf Remote-Hosts auszuführen.

Bei der Ransomware handelte es sich um BlackSuit, die nach der Ausführung auf den Remote-Hosts vssadmin zum Löschen von Schattenkopien verwendete, die lokalen Dateien verschlüsselte und dann eine Lösegeldforderung ablegte. Nach Abschluss der Remote-Ransomware-Bereitstellung verwendete der Bedrohungsakteur WMIC, um die Ransomware lokal auf dem Domänencontroller auszuführen, den er für die Bereitstellung der Remote-Bereitstellung verwendet hatte. Die Time to Ransomware (TTR) betrug in diesem Fall etwas mehr als 194 Stunden über neun Kalendertage.

Quelle: The DFIR Report

Bild/Quelle: https://depositphotos.com/de/home.html